cjnotes

cjnotes is a personal Blog about virtualization maintained by CJ

photon

VMware Cloud on AWS の Firewall 設定情報をエクスポートしてみた。

By Leave a Comment

VMware Cloud on AWS (以下、VMConAWS) 環境を運用する中で、Firewall の設定変更は欠かせないことの一つだと思います。今日は、その Firewall 設定変更の管理において役立つ下記の KB がありましたので紹介したいと思います。特に KB 上では文字のみでシンプルに掲載されているため、実際試しつつ関連箇所の GUI での確認箇所などもイメージ出来やすように共有できればと思います。 

How to Export Firewall Rules from your SDDC (75249)

source : VMware Knowledge Base

では、早速 KB 上に掲載されている要件より確認して行きましょう。

事前準備 (要件)

  • 対象の組織 (以下、Org) id :
  • 対象の SDDC id :
  • API token :
  • python3 の実行環境
  • python3 の requests パッケージ
  • python スクリプトファイル (KB 内の添付ファイル)

確認の流れ

  1. VMConAWS 環境の情報確認
  2. python3 実行環境の準備
  3. Firewall 設定情報のエクスポート

1. VMConAWS 環境の情報確認

下記の箇所より、対象となる Org および SDDC id を確認し、メモしておきます。

・VMC コンソール > 該当 SDDC > Support タブ

VMC Console > SDDC > Support > Org & SDDC ID

また、API token については、こちらの記事 (1. API Token 取得) を参考に取得します。

2. python3 実行環境の準備

本記事での python3 実行環境は、折角なので先月 GA となった Photon OS 4 を使います。Photon OS 4 のダウンロードおよびインストール要件の詳細は各リンク先をご参照ください。また、Photon OS インストールは ISO ファイルより、下記の通り “Photon Minimal” および “VMware hypervisor optimized” オプションにて行っています。

Photon OS 4 ISO からのインストール画面

Photon OS インストール直後、python パッケージ有無を確認すると、python は入っているものの (現時点のバージョンは、3.9.1) 、パッケージ管理システム (以下、pip3) は存在しないことが確認できました。

photon OS 4 Minimal installation

そのため、下記コマンドにて pip3 をインストール実施。

# yum install python3-pip

pip3 インストール後、KB 要件にある requests パッケージ有無を確認すると、下記の通り pip3 (現時点のバージョンは pip 20.2.3) が入っており、requests パッケージ (現時点のバージョンは 2.24.0) がインストールされていることを確認できました。

Tip : 上記 Photon OS インストール時に、”2. Photon Developer” オプションを選択すると、pip3 (requests パッケージ) が初期インストール状態で含まれます。

pip3 バージョンおよび requests パッケージ確認

下記の通り、KB に添付されている python スクリプトファイルを、python 実行環境 (本記事では、Photon OS) 内に SCP などで配置しておきます。

source : How to Export Firewall Rules from your SDDC (75249)

※注意:現時点で KB に掲載されているスクリプト名と添付ファイル名が異なっています。

3. Firewall 設定情報のエクスポート

下記コマンドにて VMConAWS 上の FIrewall 設定情報をエクスポートします。

形式:
# python3 Export_NSX-T_FW_config_from_an_SDDC.py [Org id] [SDDC id] [API token] > outFile.json

例:
# python3 Export_NSX-T_FW_config_from_an_SDDC.py d08...cab d4a...a17 MWB...huA > outFile.json

下記の通り、Firewall 設定情報が outFile.json ファイルとして出力されていることが確認できます。また、本ファイルの中には “MGW および CGW Groups”、”Services”、”MGW および CGW ルール”、”DFW ポリシー” 情報が取得されています。

outFile.json > e.g : DFW policy

上記 DFW ポリシーの設定を GUI (VMC コンソール) 上から確認すると、下記の通りとなっています。

VMC console > SDDC > Networking & Security > Distributed Firewall > CJ-1 policy

※注意:outFile.json ファイル内に Gateway Firewall のルールは出力されていますが、DFW の情報としては DFW ポリシー情報のみ (DFW ルール情報なし) となっていることにご注意ください。

結構シンプルに、コマンド一行で複数の Gateway Firewall のルール情報や DFW のポリシー情報が確認できることは、Firewall 設定状況の確認はもちろん、変更時の差分確認用としても有効か思いますので、ぜひお試しいただければ幸いです。また本記事が事前準備の確認箇所などにおいて少しでもお役に立てれば嬉しいです。

[参考情報]

How to Export Firewall Rules from your SDDC (75249)

Downloading Photon OS

Prerequisites for Running Photon OS on vSphere